开发用的虚拟机被人入侵

2017-09-18 15:10:46 +08:00
 zwgmlr3

虚拟机系统是 Win Server 2016。

中午登上远程桌面,发现两个 cmd 窗口在疯狂刷新,懵逼了一秒之后意识到被入侵了。

登上路由器把端口映射暂时关掉,然后静下心看了一下, 两个窗口分别开了 1024 个线程去扫描外网 ip 是否打开了 3389 端口,并记录到日志中, 别的就看不懂了,给大家参观一下

留下的文件 ftp://v-ta.com/

4952 次点击
所在节点    信息安全
11 条回复
xi4ohz
2017-09-18 15:28:12 +08:00
不要慌 是个抓鸡黑客
goodryb
2017-09-18 16:02:58 +08:00
系统没打补丁吗,怎么会被入侵,看样子你是在公网上开了 3389 端口了把
aksoft
2017-09-18 16:03:54 +08:00
这个鸡被发现了
zwgmlr3
2017-09-18 17:40:15 +08:00
@goodryb 系统没有激活,不过一直在自动更新啊 上周刚重启更新过
xifangczy
2017-09-18 21:01:17 +08:00
密码太简单
wske
2017-09-18 21:11:14 +08:00
@xifangczy 猫猫是傻叉, 啦啦啦啦啦
wohenyingyu02
2017-09-18 21:15:30 +08:00
怎么入侵才可以在你的远程桌面里弹出 cmd 窗口,生怕你发现不了?还是只要弹出 cmd 就是入侵?
u5f20u98de
2017-09-18 21:22:44 +08:00
搞清楚怎么进来的,下一次才不会被进来。
不过看桌面的样子是用了 MS17010 啊。
lekai63
2017-09-18 22:14:50 +08:00
也有可能是使用了盗版含毒软件吧
我觉得现在操作系统层面的 bug 不容易攻破了,有 0day 的估计也瞧不上我的电脑:)
何况这么明显的开 cmd 窗口
jacy
2017-09-18 23:09:38 +08:00
我 vultr 上的 2003 直接中加密勒索病毒了
chifan
2017-10-13 15:34:07 +08:00
看应该是鸡客先扫了一波弱口令然后进入你的机器之后再拿你的机器作为服务器当成资源去扫 445

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/391662

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX